[06-26] 关于病毒Trojan.DL.Agent.alb的一点分析(第3版)

原创 2006年06月25日 23:23:00

endurer 原创

2006-06-26 第3版 补充:Kaspersky确认为病毒:Trojan.Win32.Agent.ut
2006-06-26 第2版 补充:Kaspersky(2006-06-26 09:06:15)、江民KV2006引擎版本:9.02.2040病毒库日期:2006-06-26均不报。


2006-06-25 第1

一位网友说,他的电脑最近不定时地浏览网页有时候很慢,有时候会弹出个莫名其妙的网页hxxp://www.88u.com。并发来了HijackThis扫描的log。

在log中,发现如下可疑项目:

 


 

O2 - BHO: IEhlprObj Class - {A3803141-3CF5-4D66-B7EA-8D2674FE152C} - C:/WINDOWS/stdie.dll

O4 - HKCU/../Run: [LocalSystem] C:/WINDOWS/system/svchost.exe

 


 


回复后,该网友将两个文件打包发了过来。


其中:svchost.exe瑞星报为Trojan.DL.Agent.alb

此文件是用Microsoft Visual C++ 7.0 [Debug]写的


通过创建命名管道MicPIP下载:

 


 

hxxp://www.ad***369.com/filmweb/webad.asp
hxxp://www.ad***369.com/filmweb/file.asp
hxxp://www.ad***369.com/filmweb/file.dat
hxxp://www.ad***369.com/filmweb/ehu.up

 


 

创建文件
1、%windir%/setupsvc.txt

2、%USERPROFILE%/Local Settings/Temp/run1.bat

文件内容为:

 


 

rundll32 syssetup,SetupInfObjectInstallAction DefaultInstall 128 drv1.inf

 


 

3、%USERPROFILE%/Local Settings/Temp//drv1.inf

文件内容为:

 


 

[Version]
Signature="$Windows NT$"
[DefaultInstall]
DELREG=Mydel
[Mydel]
HKCU,Software/Microsoft/Windows/CurrentVersion/Policies/System,DisableRegistryTools

 


 

4、netinfo.xml

5、%windir%/system/svchost.exe

6、%windir%/system/netshell.dll

7、%windir%/netshell.dll

修改注册表多个键值

其中最重要的一项是:

 


 

Software/Microsoft/Windows/CurrentVersion/Policies/Explorer %s.dll

 


 

来加载netshell.dll。

HijackThis的简明log中不会报告这一项。

GZIP压缩原理分析(26)——第五章 Deflate算法详解(五17) 动态哈夫曼编码分析(06) LZ77过程(05)

找不到匹配怎么办?

Trojan/Win32.TDSS.eyj[Rootkit]分析

病毒标签: 病毒名称: Trojan/Win32.TDSS.eyj[Rootkit] 病毒类型: 后门 文件 MD5: 45433E3C1489F1F64798BC82BFA21864 公开范...
  • zacklin
  • zacklin
  • 2012年07月24日 11:27
  • 737

BMW Trojan 样本分析

仅用于链接已经删却但是需要方便查阅的原文http://blog.csdn.net/zirconsdu/article/details/7997470 转载请注明出处http://blog.csdn....

计算机图形学(OpenGL版)(第3版) part06

  • 2011年08月19日 11:16
  • 19.84MB
  • 下载

【趋势科技2013年第3季度安全威胁】之病毒威胁篇

2013年第3季度,我们趋势科技病毒实验室检测发现有一种窃取信息的病毒同时在国内多家金融行业用户网络中潜伏,该恶意程序以证券/基金行业为目标,极度顽强和具有隐蔽性,在目标环境中已经潜伏了一段时间。我们...
  • iqushi
  • iqushi
  • 2013年11月26日 15:07
  • 1383
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:[06-26] 关于病毒Trojan.DL.Agent.alb的一点分析(第3版)
举报原因:
原因补充:

(最多只允许输入30个字)